[+] squid, dansguardian i iptables

butek · Post autor: **butek** » 24 lipca 2007, 18:20

Mam zainstalowanego dansguardiana - port 8080 (program do blokowania stron) oraz squida - port 3128. W takiej konfiguracji wszystko działa pod warunkiem że na stacji roboczej ustawię w przeglądarce na sztywno adres serwera i port dansguardiana. Natomiast jak w squid.conf użyję opcji ,,transparent'' to przeglądarka na stacji roboczej nie czyta stron (stacja jest na Windows XP).

Jak uruchomię poniższy plik iptables to squid blokuje mi Internet.
Iptables raczej pozbywać się nie chcę.

echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych reguł
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki działania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 172.23.198.0/24 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT


iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049  -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403  -j ACCEPT

# połączenia nawiązane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostępnianie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT



iptables -t nat -A POSTROUTING -s 172.23.198.0/24 -j MASQUERADE

iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0  -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

[Dodano: 2007-07-24, 18:41]
Odpowiadam bo może komuś się przyda. Otóż dodałem w sekcji I:

Kod: Zaznacz cały

NSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

Kod: Zaznacz cały

acl our_networks src 172.23.198.0/24 10.0.0.3

drugą kartę sieciową.

zacharyjos · Post autor: **zacharyjos** » 17 marca 2010, 19:59

I co działa teraz jak trzeba?